AcidPour Wiper

ซอฟต์แวร์คุกคามที่เรียกว่า AcidPour อาจถูกนำมาใช้ในการโจมตีโดยมุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมสี่รายในยูเครน ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุความสัมพันธ์ระหว่างมัลแวร์นี้กับ AcidRain ซึ่งเชื่อมโยงกับปฏิบัติการคุกคามที่เกี่ยวข้องกับข่าวกรองทางทหารของรัสเซีย AcidPour มีฟังก์ชันการทำงานที่ได้รับการปรับปรุง ทำให้สามารถปิดการใช้งานอุปกรณ์ฝังตัวต่างๆ ได้ เช่น อุปกรณ์เครือข่าย อุปกรณ์ Internet of Things (IoT) ระบบจัดเก็บข้อมูลขนาดใหญ่ (RAID) และระบบควบคุมทางอุตสาหกรรม (ICS) ที่อาจทำงานบน Linux x86 distribution

โดยเฉพาะอย่างยิ่ง AcidPour เป็นอนุพันธ์ของ AcidRain ซึ่งเป็นตัวปัดน้ำฝนที่เริ่มแรกใช้เพื่อทำลายโมเด็ม Viasat KA-SAT ในช่วงแรกของความขัดแย้งรัสเซีย-ยูเครนในปี 2565 ซึ่งขัดขวางเครือข่ายการสื่อสารทางทหารของยูเครน

AcidPour มาพร้อมกับชุดความสามารถที่ก้าวล้ำเพิ่มเติม

มัลแวร์ AcidPour ขยายขีดความสามารถของรุ่นก่อนโดยกำหนดเป้าหมายระบบ Linux ที่ทำงานบนสถาปัตยกรรม x86 โดยเฉพาะ ในทางตรงกันข้าม AcidRain ได้รับการปรับแต่งสำหรับสถาปัตยกรรม MIPS ในขณะที่ AcidRain มีลักษณะทั่วไปมากกว่า แต่ AcidPour ได้รวมเอาตรรกะพิเศษเพื่อกำหนดเป้าหมายอุปกรณ์ฝังตัว, Storage Area Networks (SAN), อุปกรณ์ Network Attached Storage (NAS) และอาร์เรย์ RAID เฉพาะ

อย่างไรก็ตาม ทั้งสองเวอร์ชันมีความเหมือนกันในการใช้การเรียกรีบูตและวิธีการล้างไดเร็กทอรีแบบเรียกซ้ำ พวกเขายังใช้กลไกการลบล้างอุปกรณ์ตาม IOCTL ซึ่งมีความคล้ายคลึงกับมัลแวร์อื่นที่เกี่ยวข้องกับ Sandworm ที่เรียกว่า VPNFilter

ลักษณะที่น่าสนใจอย่างหนึ่งของ AcidPour คือรูปแบบการเขียนโค้ด ซึ่งชวนให้นึกถึงมัลแวร์ CaddyWiper ที่ใช้งานได้จริง ซึ่งมีการใช้กันอย่างแพร่หลายกับเป้าหมายของยูเครนควบคู่ไปกับภัยคุกคามที่โดดเด่น เช่น Industroyer2 มัลแวร์ที่ใช้ C นี้ประกอบด้วยฟังก์ชันการลบตัวเองซึ่งจะเขียนทับตัวเองบนดิสก์เมื่อเริ่มต้นการดำเนินการ ในขณะเดียวกันก็ใช้วิธีการลบข้อมูลแบบอื่นโดยขึ้นอยู่กับประเภทของอุปกรณ์

AcidPour เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่มาจากรัสเซีย

เชื่อกันว่า AcidPour ถูกใช้งานโดยกลุ่มแฮ็กที่ระบุว่าเป็น UAC-0165 ซึ่งอยู่ในเครือของ Sandworm และมีประวัติในการกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญในยูเครน

ในเดือนตุลาคม พ.ศ. 2566 ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) มีส่วนเกี่ยวข้องกับการโจมตีผู้ให้บริการโทรคมนาคมอย่างน้อย 11 รายในประเทศระหว่างเดือนพฤษภาคมถึงกันยายนของปีก่อน อาจมีการใช้ AcidPour ในระหว่างการโจมตีเหล่านี้ ซึ่งบ่งบอกถึงการใช้เครื่องมือที่เกี่ยวข้องกับ AcidRain/AcidPour อย่างสม่ำเสมอตลอดความขัดแย้ง

เป็นการตอกย้ำความเชื่อมโยงกับ Sandworm ตัวแสดงภัยคุกคามที่รู้จักในชื่อ Solntsepyok (หรือเรียกอีกอย่างว่า Solntsepek หรือ SolntsepekZ) ออกมาอ้างความรับผิดชอบในการแทรกซึมผู้ให้บริการโทรคมนาคมของยูเครน 4 รายและทำให้บริการของพวกเขาหยุดชะงักในวันที่ 13 มีนาคม 2024 เพียงสามวันก่อนการค้นพบ AcidPour

ตามรายงานของ State Special Communications Service of Ukraine (SSSCIP) ระบุว่า Solntsepyok เป็นภัยคุกคามขั้นสูงแบบต่อเนื่องของรัสเซีย (APT) ซึ่งมีความเกี่ยวข้องกับ Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU) ซึ่งดูแลหนอนทราย

เป็นที่น่าสังเกตว่า Solntsepyok ยังถูกกล่าวหาว่าละเมิดระบบของ Kyivstar ตั้งแต่ต้นเดือนพฤษภาคม 2566 โดยการละเมิดดังกล่าวจะเกิดขึ้นในช่วงปลายเดือนธันวาคมของปีนั้น

แม้ว่าจะยังคงไม่แน่ใจว่า AcidPour ถูกใช้ในการโจมตีระลอกล่าสุดหรือไม่ แต่การค้นพบนี้ชี้ให้เห็นว่าผู้คุกคามกำลังปรับปรุงกลยุทธ์อย่างต่อเนื่องเพื่อดำเนินการโจมตีแบบทำลายล้างและก่อให้เกิดการหยุดชะงักในการปฏิบัติงานอย่างมีนัยสำคัญ

วิวัฒนาการนี้ไม่เพียงแต่เน้นย้ำถึงการเพิ่มประสิทธิภาพในความสามารถด้านเทคนิคของผู้คุกคามเหล่านี้ แต่ยังเน้นย้ำแนวทางเชิงกลยุทธ์ในการเลือกเป้าหมายเพื่อขยายผลกระทบระลอกคลื่น ซึ่งรบกวนโครงสร้างพื้นฐานและการสื่อสารที่สำคัญ